Audit-Logging von Policy Analyzer

In diesem Dokument werden die geprüften Methoden für . Google Cloud Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:

• Typen von Audit-Logs
• Struktur von Audit-Logeinträgen
• Audit-Logs speichern und weiterleiten
• Preisübersicht für Cloud Logging
• Audit-Logs zum Datenzugriff aktivieren

Dienstname

So rufen Sie die Audit-Logs auf:

1. Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf:

   Zum Log-Explorer

2. Kopieren Sie die folgende Abfrage und fügen Sie sie in das Feld Abfrage des Log-Explorers ein. Klicken Sie dann auf Abfrage ausführen.

       protoPayload.serviceName="policyanalyzer.googleapis.com"
     

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, wird ein Audit-Log generiert, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

API-Methoden in der folgenden Liste, die mit (LRO) gekennzeichnet sind, sind Vorgänge mit langer Ausführungszeit. Diese Methoden generieren in der Regel zwei Audit-Log-Einträge: einen beim Starten und einen beim Beenden des Vorgangs. Weitere Informationen finden Sie unter Audit-Logs für Vorgänge mit langer Ausführungszeit.

Berechtigungstyp	Methoden
DATA_READ	google.cloud.policyanalyzer.v1.ActivityAnalyzer.QueryActivity google.cloud.policyanalyzer.v1beta1.ActivityAnalyzer.QueryActivity

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für .

google.cloud.policyanalyzer.v1.ActivityAnalyzer

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.policyanalyzer.v1.ActivityAnalyzer gehören.

QueryActivity

• Methode: google.cloud.policyanalyzer.v1.ActivityAnalyzer.QueryActivity
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • policyanalyzer.resourceAuthorizationActivities.query - DATA_READ
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query - DATA_READ
  • policyanalyzer.serviceAccountLastAuthenticationActivities.query - DATA_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.policyanalyzer.v1.ActivityAnalyzer.QueryActivity"
  

google.cloud.policyanalyzer.v1beta1.ActivityAnalyzer

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.policyanalyzer.v1beta1.ActivityAnalyzer gehören.

QueryActivity

• Methode: google.cloud.policyanalyzer.v1beta1.ActivityAnalyzer.QueryActivity
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query - DATA_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.policyanalyzer.v1beta1.ActivityAnalyzer.QueryActivity"